Des pratiques de Humanis et Malakoff-Médéric signalées par la CNIL

Le 18 octobre, la CNIL (Commission nationale de l'informatique et des libertés) a mis en demeure cinq sociétés des groupes Humanis et Malakoff-Médéric pour « détournement de finalité des données des assurés ». L’autorité de supervision leur reproche l’utilisation de données personnelles collectées pour la retraite à des fins commerciales.

En février et mars 2018, la CNIL a effectué des contrôles dans les locaux d’Humanis et de Malakoff-Médéric. Elle a alors constaté que des sociétés des deux groupes de protection sociale utilisaient les données personnelles mises à leur disposition par les fédérations Agirc-Arrco aux fins de recouvrer les cotisations et payer les allocations retraite dans le but de réaliser de la prospection commerciale pour des produits et services de ces groupes.
 
L’autorité de supervision estime que les données utilisées concernent plusieurs centaines de milliers de personnes et a mis en demeure Humanis et Malakoff-Médéric de cesser ces pratiques dans un délai d’un mois. Au vu du nombre de personnes touchées par cette utilisation inappropriée, la CNIL a souhaité frapper un grand coup en rendant publique sa mise en demeure envers les deux groupes. « Cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée si les sociétés des groupes Humanis et Malakoff-Médéric se conforment à la loi dans un délai d'un mois. Dans ce cas, la clôture de la procédure sera elle aussi rendue publique », a déclaré la CNIL à la presse.

Le but de la mise en demeure est d’informer les personnes concernées qui sont susceptibles d’être démarchées dans une perspective commerciale. De telles pratiques ont déjà fait l’objet de plusieurs rappels par les fédérations Agirc et Arrco en charge du contrôle des institutions de retraite complémentaire.

Le cabinet Haas Avocats  considère que « les données étaient confiées aux entreprises citées pour une finalité bien précise, à savoir, la mise en œuvre des régimes de retraite complémentaire. En utilisant ces mêmes données afin de faire de la prospection commerciale pour des produits et des services autres, ces entreprises auraient dû préalablement informer et obtenir le consentement des personnes ». Selon ce cabinet spécialiste du droit des nouvelles technologies, l’intérêt de cette mise en demeure tient à un rappel de la règlementation sur la protection des données personnelles  (RGPD) et notamment dans la notion de finalité qui astreint l’entreprise à avoir une raison de collecter les données : « elles ne peuvent pas être traitées ultérieurement d’une manière incompatible avec les finalités pour lesquelles les personnes ont été initialement informées », explique le cabinet Haas Avocats.